개인정보보호위원회는 개인정보 보호법을 위반해 대규모 개인정보 유출 사고를 일으킨 전북대학교와 이화여자대학교에 과징금 총 9억 6,600만 원과 과태료 540만 원을 부과했다고 12일 밝혔다.

위원회는 이번 조치와 함께 두 학교에 시정명령과 공표명령, 책임자에 대한 징계권고도 내렸다. 이들 대학은 학사정보 시스템 구축 당시부터 취약점을 방치해 해킹에 취약했으며, 야간과 주말 등 비업무 시간대에는 유출 탐지 및 대응 체계가 미흡했던 것으로 드러났다.

전북대학교는 지난해 7월, SQL 인젝션과 파라미터 변조 공격을 통해 약 32만 명의 개인정보가 유출되었으며, 이 중 28만 건 이상이 주민등록번호였다. 이 사고는 시스템 취약점이 2010년부터 존재했음에도 방치된 결과로, 주말 사이 발생한 트래픽 급증을 다음 날 오후에서야 인지한 것으로 나타났다.

이화여자대학교도 비슷한 사례다. 지난해 9월, 약 10만 회의 파라미터 변조 및 무작위 대입을 통해 8만 3천여 명의 개인정보가 유출됐다. 시스템은 2015년 구축 당시부터 취약점을 안고 있었고, 주말 야간 모니터링이 미흡했다는 공통점이 지적됐다.

위원회는 해당 학교들에 각각 6억 2,300만 원(전북대), 3억 4,300만 원(이화여대)의 과징금을 부과하고 관련 내용을 대학 홈페이지에 공표하도록 했다. 또한, 모의해킹과 상시 모니터링 체계 구축 등의 시정조치를 명령하고 책임자에 대한 징계도 권고했다.

한편, 개인정보위는 이번 사례를 계기로 교육부에 전국 대학의 개인정보 관리 강화를 요청하고, 대학 평가에 이를 반영하는 방안을 검토할 것을 제안할 방침이다. 최근까지 전국 대학에서 발생한 유출 신고는 21건에 달한다.